Hallo Zusammen,
ich hab heute mal meine Firewall neu aufgesetzt.
SO weit so gut.
Aber irgendwie will kea nicht.
Ich bekomme zwar DHCP leases, aber nicht aus dem Range wo ich angegeben habe.
Control Agent ist aktiv.
KEA DHCP, ist allen interface Aktiviert
KEA Service ist ENabled
Hacken bei Firewall rules ist an
Subnetze sind alle 4 angelegt.
Ich hab keine Idee mehr was ich falsch machen könnte. Habt Ihr ne Tip?
Anbei ne Paar Screenshots.
Kann man in der WebGui von KEA nicht auch den DNS und auch das Gateway von Hand definieren?
Grüße Robert
Wenn du den Haken bei "Autocollect option data" raus nimmst, kannst du subnetzspezifische Optionen manuell einstellen.
Quote from: Patrick M. Hausen on March 01, 2026, 03:45:30 PMWenn du den Haken bei "Autocollect option data" raus nimmst, kannst du subnetzspezifische Optionen manuell einstellen.
Geil Dank dir.
Trotzdem bekomm ich immer noch keine Leases aus den Ranges die ich definiert habe.
Auch scheint der DHCP nicht auf den VLAns zu laufen?
Muss man hier noch Firewall Rules von Hand definieren.
Da kommt dann so ne Fehlermeldung.
WARN [kea-dhcp4.dhcpsrv.0x13c28145c008] DHCPSRV_OPEN_SOCKET_FAIL failed to open socket: Failed to open socket on interface vlan01, reason: failed to bind fallback socket to address 172.17.0.1, port 67, reason: Address already in use - is another DHCP server running?
Komich, da ISC ja garnicht bei der Neuinstallation installiert wurde.
Ich sags mal ganz direkt, mit ISC lief das einfach.
Noch was anderes.
Ich hab aktuell 4 Inferfaces am laufen.
1. LAN kein VLAN tag,
2-4 mit VLAN Tag.
Kann es auch daran liegen? Hab da eben so was in der Richtung auf Google gelesen.
Hast du ISC auf allen Interfaces entfernt und abgeschaltet? Stückweise umziehen geht nicht. Wenn ISC läuft, blockiert er Kea komplett. Isso.
ISC wird ja garnicht installiert, wenn du aktuell neu installierst.
Ich kann ihn unter Services erst garnicht finden.
Ich hab auch das hier noch gefunden:
https://forum.opnsense.org/index.php?topic=39073.0
Vielleicht liegt es wirklich daran, dass mein LAN aktuell keine VLAN ID hat.
Aber mal was anderes, wenn ich jetzt für mein VLAN eine VLAN ID anlege.
Dann einfach unter Assignments anstatt das Interface direkt, die neue VLAN ID anwählen?
Ich glaube auch das mein Unifi System dem "Default Netz" schon die VLAN 1 verpasst hat.
Das hat alles garantiert nichts mit den VLAN IDs zu tun. Du musst in Kea ein Subnetz anlegen, das zum Interface passt und einen Pool. Fertig, dann läuft der.
Wenn du den Haken bei "Firewall Rules" drin hast, werden auf allen Interfaces alle nötigen Regeln automatisch angelegt.
Nimm mal "Match client-id" raus. Wenn das aktiv ist, vergibt er die Leases *nicht* auf der Basis von MAC-Adressen sondern auf Basis von Client-IDs, bei denen ich mich tatsächlich noch nie darum gekümmert habe, was das eigentlich ist, weil ich nur MAC-Adressen brauche.
Keine Ahnung, das teil weist mir einfach keine IP Adressen aus meine Range zu.
Egal was ich einstelle.
Auch bei den Leases ist ja nicht zu finden. SIehe Fotos.
Sag sind das bei dir alles eigene Interfaces oder auch VLANs?
Ich hab da noch mal ne LOG von KEA angehängt. Als ob ein DHCP bereits am laufen ist.
Das sind alles VLANs. Guck doch mal mit "ps" nach, on ISC oder DNSmasq laufen ...
Quote from: no_Legend on March 01, 2026, 04:50:31 PMAuch bei den Leases ist ja nicht zu finden. SIehe Fotos.
Das zeigt die IPv6 Leases. Deine Konfiguration zeigt aber nur IPv4 Subnetze, so würde ich mir auch nur IPv4 Leases erwarten. Die sind eins drüber.
Bei den Subnetzen sind Netzwerkadressen anzugeben. Du hast vermutlich die Interface IP angegeben.
Also anstatt 172.16.0.1/16 172.16.0.0/16 usw.
Weiß aber nicht, ob das KEA davon abhält, Leases auszuhändigen.
Quote from: viragomann on March 01, 2026, 05:42:00 PMQuote from: no_Legend on March 01, 2026, 04:50:31 PMAuch bei den Leases ist ja nicht zu finden. SIehe Fotos.
Das zeigt die IPv6 Leases. Deine Konfiguration zeigt aber nur IPv4 Subnetze, so würde ich mir auch nur IPv4 Leases erwarten. Die sind eins drüber.
Bei den Subnetzen sind Netzwerkadressen anzugeben. Du hast vermutlich die Interface IP angegeben.
Also anstatt 172.16.0.1/16 172.16.0.0/16 usw.
Weiß aber nicht, ob das KEA davon abhält, Leases auszuhändigen.
Das mit der .1 und .0 hab ich schon angepasst.
Ändert leider nichts.
In v6 hab ich nicht im Einsatz, deshalb nur v4
Kea meldet dass auf allen Schnittstellen bereit der Port 67 blockiert ist.
Also ob schon ein dhcp läuft.
Da aber kein isc installier ist wundert mich das sehr.
Dazu bekommen Clients nur leases auf der lan Schnittstelle und auf allen anderen nicht.
Ist kea überhaupt schon stable?
Quote from: no_Legend on March 01, 2026, 05:59:23 PMKea meldet dass auf allen Schnittstellen bereit der Port 67 blockiert ist.
Also ob schon ein dhcp läuft.
Den Verdacht hatte ich auch schon.
Dann schau mal, was auf dem Port läuft. Bspw. in der Konsole
sockstat -4 | grep 67Quote from: no_Legend on March 01, 2026, 05:59:23 PMIst kea überhaupt schon stable?
Ich nutze es jedenfalls schon ein paar Wochen auf zwei (Business) Installationen.
Allerdings sind die verfügbaren DHCP Optionen ziemlich begrenzt. Wegen fehlender Option 114 muss ich eventuell eine durch DNSmasq DHCP ersetzen.
Ich hab im Englisch Sprachen Forum mal gefragt.
Und es ist dnsmasq, hab es gerade nachgeschaut.
Da läuft echt ne dhcp.
Ich hab wohl den Fehler aufgesessen, dass der isc als Standard durch kea als Standard ersetzt wurde.
Okay. Dann muss ich den wohl deaktivieren.
Jetzt frag ich mich aber welcher dhcp Server ist besser und sollt wann benutzen?
Quote from: no_Legend on March 01, 2026, 06:25:51 PMJetzt frag ich mich aber welcher dhcp Server ist besser
Ihre Arbeit machen nach meiner Erfahrung beide ordentlich. KEA scheint aber einen geringeren Funktionsumfang zu haben. Es befindet wohl noch im Entwicklungsprozess, und nicht alle unterstützten Funktionen sind schon in der OPNsense GUI eingepflegt.
Wie erwähnt, muss ich wahrscheinlich auf einer Installation auf Dnsmasq DNS & DHCP migrieren, weil KEA die Captive Portal Option nicht unterstützt.
Generell ist der Umfang an DHCP Optionen ganz überschaubar.
Auch das Eintragen von Hostnamen ins DNS unterstützt KEA nicht.
Dnsmasq DNS & DHCP sieht auf den ersten Blick etwas unübersichtlicher aus. Es integriert eben auch DNS und die GUI bietet damit auch die dafür nötigen Settings.
Nutzt man es auch für DNS und möchte man die Geräte mit Hostnamen ansprechen, wäre es wohl eine Vereinfachung der Konfiguration. Die bei DHCP-Reservierungen verwendeten Hostnamen stehen gleich im DNS zur Verfügung.
Im Gegensatz zu KEA gibt es für Dnsmasq DNS & DHCP ein Widget fürs Dashboard, das die Leases zeigt. Allerdings ist es aktuell nicht sehr übersichtlich. Die Leases werden wohl aufgelistet, wie zeitlich vergeben, also nicht nach Subnetzen getrennt oder sortiert und es gibt auch keine Information, zu welchem Subnetz oder Interface ein Lease gehört und damit auch nicht über die Auslastung der Pools.
Der DNS Funktionsumfang ist hier aber geringer als jener von Unbound. Außerdem ist es ein reiner Forwarder.
Man kann es aber auch mit Unbound gemeinsam nutzen, sodass man die Hostnamen nicht extra eintragen muss, doch die Rootserver für Internet-Lookups verwendet.
Quote from: viragomann on March 01, 2026, 08:03:40 PMKEA scheint aber einen geringeren Funktionsumfang zu haben.
Hat er nicht. Kea ist *das* Enterprise Nachfolge-Produkt von denselben Leuten, die uns ISC-DHCPd [1] gebracht haben. Nun hört mal mit dem FUD auf. Die Integration in OPNsense lässt Features offen, aus Gründen, die ich nicht kenne.
[1] Überraschenderweise heißt die Firma ISC - Internet Software Consortium - und sie liefert seit Jahrzehnten die Komponenten, die 90% des Internets zusammenhalten. BIND zum Beispiel. *Der* DNS-Server. Das Standardwerk zum Thema DNS von O'Reilly heißt zum Beispiel "DNS & BIND".
Und wie bringe ich KEA die bereits erfragte Option 114 bei?
Ja, ich weiß, KEA an sich unterstützt das bereits, aber auch noch nicht allzu lange. Daher die Anmerkung, dass es wohl noch in Entwicklung sei.
Mir hilft das Prädikat "Enterprise" gar nix, wenn es die für Enterprise benötigten Funktionen nicht untersetzt. Brauch ich das, muss ich eben ein anderes Produkt verwenden.
Quote from: Patrick M. Hausen on March 01, 2026, 08:12:16 PMHat er nicht. Kea ist *das* Enterprise Nachfolge-Produkt von denselben Leuten, die uns ISC-DHCPd
BTW: ISC unterstützt DHCP Optionen völlig flexibel. Man kann jede Option selbst konfigurieren.
KEA hingegen bietet gerade mal eine handvoll, so jedenfalls in der OPNsense GUI. Warum macht der legitime Nachfolger da eine Rückschritt?
Auch Kea unterstützt beliebige Optionen, Herrgott! Das OPNsense UI tut es nicht.
Kea hat ein ganzes Framework für den Kram:
https://www.isc.org/docs/2023kea_custom_options.pdf
Okay, und wie komme ich nun in den Genuss, wenn mein KEA auf OPNsense läuft?
Quote from: viragomann on March 01, 2026, 08:34:45 PMOkay, und wie komme ich nun in den Genuss, wenn mein KEA auf OPNsense läuft?
Zum Beispiel, indem du deine Kea-Konfiguration komplett von Hand schreibst. Wie gesagt, ich weiß auch nicht, was da die Intention von Deciso ist.
Aber zu verbreiten, "Kea kann dies nicht, Kea kann das nicht" ist m.E. unredlich und gefährlich, zumal wir hier von einem der wichtigsten Bausteine des gesamten Internet von einer der respektabelsten Quellen sprechen. Das ist einfach Rufschädigung.
Kea kann *alles* und mehr, was ISC-DHCPd kann. Er ist das Nachfolgeprodukt von denselben Leuten. Ausgereift, supported, Thema durch. Ich würde mir wünschen, OPNsense würde das einfach gescheit implementieren.
Quote from: Patrick M. Hausen on March 01, 2026, 08:39:29 PMZum Beispiel, indem du deine Kea-Konfiguration komplett von Hand schreibst.
Ich meine, die Option dafür in OPNsense mal entdeckt zu haben, finde es aber nicht mehr.
Jedoch die gesamte Konfiguration von Hand zu schreiben, halte ich eh für wenig erstrebenswert. Es müsste das eine Möglichkeit geben, die Konfiguration zu editieren, um eben Funktionen hinzufügen zu können, die OPNsense nicht unterstützt.
Quote from: Patrick M. Hausen on March 01, 2026, 08:39:29 PMAber zu verbreiten, "Kea kann dies nicht, Kea kann das nicht" ist m.E. unredlich und gefährlich
Wir diskutieren hier in einem OPNsense Forum. Es geht hier um ein System, das dafür gedacht ist, über das grafische User-Interface konfiguriert zu werden. Und wenn die GUI Funktionen nicht unterstützt, dann soll das auch gesagt werden dürfen. Und es ist dann eben in diesem Fall KEA, das die ersehnte Funktion nicht unterstützt.
Keiner hier hat etwas von dem noch so tollen tatsächlichen Funktionsumfang von KEA, wenn er ihn nicht nutzen kann.
Quote from: viragomann on March 01, 2026, 09:03:49 PMIch meine, die Option dafür in OPNsense mal entdeckt zu haben, finde es aber nicht mehr.
Service: Kea DHCP: Kea DHCPv4: "advanced mode" aktivieren: Manual config
Nein, ich denke auch nicht, dass das eine Lösung ist.
Quote from: viragomann on March 01, 2026, 09:03:49 PMUnd es ist dann eben in diesem Fall KEA, das die ersehnte Funktion nicht unterstützt.
Es ist einzig und allein OPNsense, die den Funktionsumfang nicht unterstützt.
Quote from: Patrick M. Hausen on March 01, 2026, 09:13:15 PMService: Kea DHCP: Kea DHCPv4: "advanced mode" aktivieren: Manual config
Ah ja.
Danke.
Aber wie gesagt, wenn nötig, werde ich wohl eher schlechten Gewissens und von Unverständnis geplagt zu DNSmasq DNS & DHCP migrieren. Da geht das dann doch komfortabler.
Hast du schon ein Feature-Request auf Github erstellt?
Meiner Erachtens sollte es einfach ein Feld für Custom DHCP Options geben, wo man dann einfach händisch einträgt, was benötigt wird.
EDIT: Laut Github Kommentar ist 114 für Kea Work-in-Progress https://github.com/opnsense/core/issues/8261#issuecomment-3998514198
Danke! Der Post mit dem Hinweise ist ja noch taufrisch!
Ich hatte einen älteren Post von Franco gelesen, in dem er auf DNSmasq verweist, wenn man die Option nutzen möchte.
Ich habe CP aktuell eben nur mit Umleitung zum Testen laufen. Aber dass iOS nicht gewillt ist, dieser zu folgen, hat sich dabei schon herausgestellt. Windows 11 und Android 15 akzeptieren es.
Bis die Funktion in der Business Edition verfügbar ist, werde ich wohl nicht warten können. Apple Geräte will man hier halt auch willkommen heißen. Also werde ich an der Migration zu DNSmasq nicht vorbeikommen.
Ist nicht so schlimm. Sind nur 3 Subnetze und eine Handvoll Reservierungen, aber dennoch ärgerlich.
Danke noch mal an euch, für die Erklärung und Hilfe!
Ich bin jetzt einfach auf Dnsmasq DHCP geblieben.
Ganz zu frieden bin ich zwar nicht. Liegt aber bestimmt daran, dass ich ISC gewohnt war.
Noch was anderes, wo meldet man Bugs? Github?
Der Filter bei den DHCP Hosts (fixed DHCP) funktionieren nicht.
Es scheint als ob in der Datenbank der Eintrag fehlt, auf welcher Schnittstelle der Eintrag erzeugt wurde.
Hoffentlich hab ich das verständlich geschrieben.
Danke und Grüße Robert
Der Filter funktioniert schon, da es in dieser Ansicht keine Interfaces gibt, wird auch nichts angezeigt. Aber auf der selben Seite gibt es Tags. Jetzt nur für eine Ansicht den Selectpicker anzupassen sodass er keine Interfaces anzeigt hat zu wenig benefits. Interfaces sind nämlich auch "tags" bei dnsmasq.
Quote from: Monviech (Cedrik) on March 05, 2026, 08:57:49 AMDer Filter funktioniert schon, da es in dieser Ansicht keine Interfaces gibt, wird auch nichts angezeigt. Aber auf der selben Seite gibt es Tags. Jetzt nur für eine Ansicht den Selectpicker anzupassen sodass er keine Interfaces anzeigt hat zu wenig benefits. Interfaces sind nämlich auch "tags" bei dnsmasq.
Danke für deine Antwort, ich finde es eher verwirrend.
Wenn eine Funktion angezeigt wird, dann sollte diese auch funktionieren.
Bei ISC konnte ja auch getrennt anschauen,
Da brauchst dich als Entwickler nicht wundern, wenn du ein Issue bekommst.
Zumindest weiß ich jetzt, dass es nicht an mir liegt :-)
Danke
Naja sie funktioniert in dem Fall, aber nur für Tags, weil auf der Seite gibt es nur Tags im Grid und keine Interfaces.
Der gleiche selectpicker wird über mehrere Seiten geshared, ich müsste also alles Klonen, die Daten verändern etc nur für den einen Edge Case.
Ich verstehe dich, aber das ist ein Rattenschwanz :(